瑞星卡卡安全论坛

听说瑞星的“橙8专杀工具”可以灭“随机8位数”蠕虫了，很感兴趣。
从瑞星主页下载了一个“橙8专杀工具”。
关闭所有安全软件。
将worm.agent.wk（瑞星前天就能查杀了）植入系统。
运行“橙8专杀工具”————————

附件: 1558472007610170814.jpg

自己想办法吧

附件: 1558472007610170859.jpg

靠人不如靠自己呢

附件: 1558472007610171011.jpg

套路虽然老，但管用。

附件: 1558472007610171046.jpg

呵呵,确实不错哈,猫叔帮我看看啊!哪个运行被重定向怎么解决啊!~

接下来，轻车熟路：删除病毒文件、删除病毒的加载项。导入注册表备份。修复IFEO。
搞掂。

引用:

【逍遥浪子45的贴子】呵呵,确实不错哈,猫叔帮我看看啊!哪个运行被重定向怎么解决啊!~ ………………

重定向？
样本？
请发到我的邮箱。

呵呵！！！难怪今天有求助的说，那专杀没用，真的没用。

引用:

【逍遥浪子45的贴子】呵呵,确实不错哈,猫叔帮我看看啊!哪个运行被重定向怎么解决啊!~ ………………

样本也给个我...!

我也想找样本你玩啊,猫叔,但那位MM能进入安全模式--在安全模式强行安装成功了NOD,居然连本体以及AUTORUN里面的东西全部给清理掉了...我去远程的时候就解决了那个HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options给删除了以及清理了残留的病毒文件...

【回复“baohe”的帖子】

老大,你是不是在注册表RUN项写入C:\IS启动的?

没有影响么?IS不会被最小化?

引用:

【逍遥浪子45的贴子】我也想找样本你玩啊,猫叔,但那位MM能进入安全模式--在安全模式强行安装成功了NOD,居然连本体以及AUTORUN里面的东西全部给清理掉了...我去远程的时候就解决了那个HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options给删除了以及清理了残留的病毒文件... ………………

让MM努力找找吧
要.exe
这年头，变种多，且速度快。
不能以以往的老经验考虑问题了。
有样本，才有可能能说出个三、六、九来。

引用:

【孤独更可靠的贴子】【回复“baohe”的帖子】 老大,你是不是在注册表RUN项写入C:\IS启动的? 没有影响么?IS不会被最小化? ………………

RUN？
估计没戏。
想想别的法子吧。
那些“优良”病毒的启动加载方式————可以模仿。
这类IFEO＋关闭窗口的DD，并不像想象的那么聪明。至少，目前为止，凭我的智商还能对付它们。

引用:

【baohe的贴子】 RUN？ 估计没戏。 想想别的法子吧。 那些“优良”病毒的启动加载方式————可以模仿。 这类IFEO＋关闭窗口的DD，并不像想象的那么聪明。至少，目前为止，凭我的智商还能对付它们。 ………………

知道了`

是EXE的话,那么是我自己帮她解决的..真后悔没截个图啊!~

在每个盘都有一个xywrebh.exe似乎那文件NOD放过了,我猜测那AUTORUN里面的代码一定是这个!

[AutoRun]
open=xywrebh.exe
shell\open=打开(&O)
shell\open\Command=xywrebh.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=xywrebh.exe

没办法了,被我删除后MM就直接清空了回收站,而且我还帮她把系统还原关闭了....TEMP文件也被我清理了.....

我郁闷啊.........

引用:

【逍遥浪子45的贴子】是EXE的话,那么是我自己帮她解决的..真后悔没截个图啊!~ 在每个盘都有一个xywrebh.exe似乎那文件NOD放过了,我猜测那AUTORUN里面的代码一定是这个! [AutoRun] open=xywrebh.exe shell\open=打开(&O) shell\open\Command=xywrebh.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=xywrebh.exe 没办法了,被我删除后MM就直接清空了回收站,而且我还帮她把系统还原关闭了....TEMP文件也被我清理了..... 我郁闷啊......... ………………

xywrebh.exe————有希望啊！老大！
让MM用WINRAR在非系统分区根目录下找（有可能在一个RUNAUTO~的古怪文件夹中）

可能可能

还在那怪异的文件夹里呢。

猫猫的这个冰刃启动想法，那天好象漏出点，我还有印象呢。

呵呵！！！！

对于求助的不建议这个。

还是DOS算了。

引用:

【baohe的贴子】 引用: 【逍遥浪子45的贴子】是EXE的话,那么是我自己帮她解决的..真后悔没截个图啊!~ 在每个盘都有一个xywrebh.exe似乎那文件NOD放过了,我猜测那AUTORUN里面的代码一定是这个! [AutoRun] open=xywrebh.exe shell\open=打开(&O) shell\open\Command=xywrebh.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=xywrebh.exe 没办法了,被我删除后MM就直接清空了回收站,而且我还帮她把系统还原关闭了....TEMP文件也被我清理了..... 我郁闷啊......... ……………… xywrebh.exe————有希望啊！老大！ 让MM用WINRAR在非系统分区根目录下找（有可能在一个RUNAUTO~的古怪文件夹中） ………………

老大,以前我网盘的那个吧``

双进程守护的``

貌似很坚强```

引用:

【天月来了的贴子】可能可能 还在那怪异的文件夹里呢。 猫猫的这个冰刃启动想法，那天好象漏出点，我还有印象呢。 呵呵！！！！ 对于求助的不建议这个。 还是DOS算了。 ………………

中毒环境下，启动IS的方法不止一种。甚至可以利用早先已经灭掉的病毒的“壳子”（病毒文件删除干净了，但保留了其加载项）。
另外，这样启动IS后，动作也不能太慢。时间，当然够用。但如果动作太“肉”了————病毒一样将IS的窗口关到最小。

太好了

附件: 8450972007610175042.gif

引用:

【baohe的贴子】 中毒环境下，启动IS的方法不止一种。甚至可以利用早先已经灭掉的病毒的“壳子”（病毒文件删除干净了，但保留了其加载项）。 另外，这样启动IS后，动作也不能太慢。时间，当然够用。但如果动作太“肉”了————病毒一样将IS的窗口关到最小。 ………………

是啊是啊

会得人看你冰刃启动后运行的“PID”，就大体知道怎回事了。

呵呵！！！！

不明说了。

呵呵！！！！

得手快哦。

我一直没机会将冰刃和要用的工具在改名后，也恶意的替换到病毒所在的位置，同名替换的情况下，不知结果怎样？？？

嘻嘻！！！！！

启动病毒，实际就启动的是冰刃，嘿嘿。

这次那几个，跟橙色八月本来就是不完全一样的，更不能仍旧按照处理橙色八月病毒的方法来处理。
但是很多会员在发帖求助时，都很喜欢把它们跟橙色八月联系起来，究其原因，只不过是橙色八月干掉杀软的行为让他们记忆深刻，于是以后遇上干掉杀软的病毒，就都往橙色八月上面想而已。

呵呵,那么我再找下那MM远程找下那病毒文件吧!~忘了猫叔的邮箱了...汗....

引用:

【轩辕小聪的贴子】这次那几个，跟橙色八月本来就是不完全一样的，更不能仍旧按照处理橙色八月病毒的方法来处理。 但是很多会员在发帖求助时，都很喜欢把它们跟橙色八月联系起来，究其原因，只不过是橙色八月干掉杀软的行为让他们记忆深刻，于是以后遇上干掉杀软的病毒，就都往橙色八月上面想而已。 ………………

http://it.rising.com.cn/Channels/Info/Virus/2007-06-06/1181112672d42596.shtml
瑞星官方这样说的

附件: 1558472007610183808.jpg

中毒真是蛮可怕的，大家都要小心阿，杀毒软件一定要选好